Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

3. Eksempel på databehandler

Eksempler på databehandler:

  • EPJ-leverandør hvor server fysisk er lokalisert hos leverandøren og hvor dataansvarlig (i virksomheten) har tilgang til EPJ-systemet i en terminalserverløsning.
  • Leverandør med fjernaksess som drifter hele eller deler av EPJ-systemet eller sikkerhetsløsningen.
  • En av partene i et formalisert arbeidsfellesskap drifter EPJ-systemet på vegne av de andre partene. Dette gjelder allerede etablerte formalisert arbeidsfellesskap ift at forskriften er utgått. Ny hjemmel for samarbeid mellom virksomheter om behandlingsrettede helseregistre er pasientjournalloven § 9.
  • Leverandør av lønn- og personalsystem hvor server fysisk er plassert hos leverandøren som også drifter løsningen for kunden. Vær oppmerksom på at personopplysningsloven og ikke pasientjournalloven da regulerer forholdet, og at databehandleravtalen må endres bl.a. i forhold til dette (se eksempel på databehandleravtale nedenfor).
  • Et konsern samler driften av EPJ-systemene i en egen virksomhet for drift av virksomhetenes EPJ-systemer.
  • Kommune(r) som benytter vertskommune eller som oppretter interkommunale selskaper for drift av IKT-systemer med helse- og personopplysninger, herunder håndtering av kommunens/kommunenes tilknytning til Norsk Helsenett.
  • Virksomheten/forskningsprosjektet kan ha behov for at et utenforstående miljø, en underleverandør, bearbeider eller drifter data på vegne av prosjektet.
  • Helseforetak setter ut drift av IKT-løsning for behandling av helse- og personopplysninger til driftsenhet utenfor HF.
  • Utrangering av lagringsenheter (multifunksjonsskriver, disker, osv) hvor leverandør utfører sletting av lagringsenheten.
  • Bruk av ”skytjeneste” for behandling av helseopplysninger. Her må virksomheten kartlegge bruk av underleverandører til ”skytjeneste”-leverandøren slik at det sikres at Normens krav gjelder for all behandling av helse- og personopplysninger.

Det er kun leverandører/tjenesteytere som behandler helse- og opplysninger på vegne av virksomheten som regnes som databehandler. Det betyr at man kun er databehandler dersom man har fått en delegert oppgave om å behandle helse- og personopplysninger fra dataansvarlig. Å behandle helse- og personopplysninger må være en del av formålet med avtalen mellom virksomhetene. Der leverandøren får tilgang til opplysninger ved utførelse av service eller support, men det ikke er en del av oppdraget å behandle opplysningene, vil det være tilstrekkelig med taushetserklæring.

Normen

Faktaark til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 04. februar 2021